论文部分内容阅读
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息系统的安全风险问题已从单纯的技术性问题变成事关国家安全的全球性问题,因此有必要对信息系统的安全性进行评估。而对信息系统的风险评估,即脆弱性、信息系统面临的威胁及其发生的可能性,以及脆弱性被威胁源利用后所产生的负面影响的评估,是信息系统安全评估的基础。信息系统的安全风险评估结果对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策有重要的指导作用,是一个组织机构实现信息系统安全的必要的步骤,可以使决策者对其业务信息系统的安全策略或安全实践有更加深刻的认识。 国外对信息系统的风险评估已经由单纯的信息技术安全评估发展成为信息技术安全评估和组织机构管理安全评估相结合的综合评估,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全风险管理体系。而我国目前的风险评估活动才刚刚起步,为了满足我国风险评估发展的需要,本文对信息系统安全风险评估进行了以下几个方面的研究: 1.对国际信息系统安全风险评估的标准、方法和工具的发展进行研究,力求为国内风险评估标准的制定、方法的提出和工具的研究提供一定的参考和依据; 2.对风险评估方法OCTAVE进行了研究,并将定量风险分析方法应用于其中; 本文将OCTAVE评估方法作为信息系统安全管理中风险评估的理论依据,并且从评估实践需要的角度出发,加入了定量风险分析,通过对评估结果进行量化,采用多属性决策分析的方法对风险发生的可能性和风险影响的综合指数进行定量分析,指导风险消减计划的制定。通过实践表明,定量方法的引入有利于促进信息安全风险评估工作者和组织机构内部人员更准确、更高效的评估风险; 3.设计并实现了基于OCTAVE的风险评估辅助工具; 为了更好的完成风险评估工作,评估人员需要有合适的信息安全风险评估辅助工具帮助收集风险评估所需要的信息和分析风险评估的结果。我国在风险评估工具的开发方面还处于萌芽阶段,现有的风险评估工具大多是风险评估服务厂商根据自身特点而设计开发的,缺少权威方法的支持,这与风险评估的社会需求形成巨大的反差。本文设计并实现了基于OCTAVE的风险评估辅助工具ORAS(OCTAVE Risk Assessment System),有利于提高信息系统安全风险评估工作的效率和结果的正确性,为我国开发具有自主知识产权的风险评估工具进行了有意义的尝试; 4.对安全评估准则CC(ISO/IEC15408)进行了深入研究,并对其辅助工具CC Toolbox进行了改进;